1-го декабря Минюст зарегистрировал приказ Минкомсвязи №315 от 28-го августа 2015-го года о внесении изменений в Административный регламент РКН в части местонахождения баз данных персональных данных. Теперь в уведомлении в РКН добавился соответствующий раздел:
Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.
Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.
Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке, посвященной этому вопросу.
Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.
Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:
Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона. А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.
РКН по своей привычке немного переосмыслил то, что написано в Административном регламенте, попутно уравняв термин "база данных" и "центр обработки данных", и в электронной форме уведомления, размещенной на сайте РКН, это добавление выглядит так:
Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.
Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.
Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке, посвященной этому вопросу.
Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.
Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:
- Вам придется указывать адреса ВСЕХ своих офисов, в которых ведется обработка ПДн.
- Вам придется уточнить адреса всех площадок, включая облачные, используемые вашими контрагентами/обработчиками ПДн. Да-да. По всем своим привлеченным обработчикам вам тоже придется это сделать, ведь это обязанность оператора ПДн.
Про мобильные устройства (лэптопы или смартфоны), хранящие базы данных с ПДн, даже думать не хочется. Какой адрес указывать у них? ГЛОНАСС? GPS? "Порт приписки"?
Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона. А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.
Спасибо за статью.
ОтветитьУдалитьФорму подачи изменений "допилили" недавно.
В нашу организацию пришло письмо с требованием указать размещение базы данных, это было 3 декабря.
На тот момент для адреса размещения базы данных не было, пришлось консультироваться с РКН.
Уровнять базу данных и ЦОД -это смелое решение! (сарказм)
Да, это недавнее "изобретение". Но у РКН свое мнение, как обычно.
ОтветитьУдалитьДля участия в закупках, обязательным условием со стороны Заказчика было предоставление выписки из реестра операторов ПДн.
ОтветитьУдалитьПри направлении заявления о предоставлении выписки, Роскомнадзор в обязательном порядке запросил предоставление информации о расположении баз данных. Так как выписка требовалась срочно, то соответствующая информация была предоставлена в РКН.
Узаконенный шантаж :-(
ОтветитьУдалитьКоллеги, только одного меня смутило появлении в электронной форме уведомления на портале РКН раздела "Сведения об информационной системе - Наименование ИС *", в котором надо напихать все сведения о категориях обрабатываемых ПДн, способах обработки и т.д.? И это надо делать для каждой ИС! А если в организации нет ИС, то как ей заполнять поля о категориях ПДн, категориях субъектов, перечне действия и т.д.? Я звонил в управление РКН по ЦФО - коллеги признали несовершенство формы и предложили обратиться в ЦА РКН с соответствующим запросом.
ОтветитьУдалитьВы вообще не обязаны электронную форму заполнять - сами в Wordе сделайте и все
ОтветитьУдалитьЭто я прекрасно знаю, но РКН не перестает удивлять своей фантазией... Написал им запрос, в котором попросил объяснить несуразности нынешней формы.
ОтветитьУдалитьРКН вообще не перестает ;-)
ОтветитьУдалитьПолучил из РКН ответ за подписью Контемирова на свой запрос. Ответ сугубо на "отстань" (ни на один из трех поставленных вопросов не ответили), но электронную форму все же изменили: больше не требуют указать контрагентов по предоставлению услуг ЦОДа и наименование ИС, а вот ИСПДн все равно надо будет указывать по отдельности со всеми сведениями о категориях обрабатываемых ПДн, способах обработки и т.д.
ОтветитьУдалить